Cómo Mejorar La Seguridad De Un Hosting Con WordPress
Recordemos que un CMS como WordPress también incorpora plugins y temas. Piezas extra de software de mayor o menor calidad tanto en su programación, como en el soporte que se facilita a sus usuarios desde del desarrollador. Del 100% de las vulnerabilidades confirmadas en WordPress:
- Actualmente, solo el 17,9% de las instalaciones de WordPress a nivel mundial están actualizadas a su última versión, la versión recomendada.
- Solo el 12,9% de las instalaciones de WordPress a nivel mundial corren sobre la última versión de PHP. Aunque pronto podremos disfrutar de la última versión de PHP, la versión 7.4, más del 87% de las instalaciones están por debajo de la versión 7.3
- El 54% de las mismas están localizadas en los plugins
- El 31,5% de las vulnerabilidades se encuentran en el núcleo de WordPress
- El 14,5% se localizan en los temas.
- Los ataques que más se producen en instalaciones de WordPress son Cross Site Scripting y SQL Injection.
Las medidas mínimas actualmente para poder establecer un entorno adecuado para el alojamiento de WordPress, o de cualquier CMS, podría resumirse de la siguiente forma:
A nivel Data Center
Medidas frente a los ataques más comunes, como son los ataques de denegación de servicio (DDoS). Dispositivos hardware especializados, así como numerosos acuerdos con proveedores de conectividad, que permitan desviar el tráfico de forma correcta y mitigar de la mejor forma posible este tipo de ciberdelincuencia. Monitorización y vigilancia permanente y en tiempo real del tráfico interno del data center, tratando cada transacción, movimiento o interacción de datos, como si fuese una amenaza de forma preventiva.A nivel servidor
Medidas de aislamiento web que eviten el acceso a ciberdelincuentes a entornos multi-cliente como las plataformas de hosting compartido. También se combate de esta forma que páginas web infectadas de algún usuario puedan afectar a su entorno, o que consuman un número excesivo de recursos que pueda afectar al resto de clientes. Últimas versiones de software de la totalidad de componentes del servidor son altamente recomendadas sino obligatorias.A nivel aplicación
Puesta en marcha de medidas para evitar los ataques de fuerza bruta o diccionario por defecto en las instalaciones CMS de cada usuario. La autenticación y la administración de sesiones son el foco de los ciberdelincuentes, aunque no el único. La especialización en CMS conlleva un aprendizaje global que con los años va perfilando un servicio diferente a otros tipos de proveedores de hosting. Se invierten mucho tiempo y recursos en procurar un entorno que evite a los clientes tener que gestionar componentes hardware o software de sus proyectos, ésta es de por sí, la definición de servicios administrados. Para ello el servicio han de blindarse con las siguientes bondades:- Permisos: Utilidades que permitan a los usuarios actualizar todos los permisos de carpetas y ficheros de sus proyectos con la configuración adecuada en un único click.
- Instalación automática y blindada de CMS: Incorporando por defecto en el proceso de alta automática del CMS opciones de securización, sin esperar a una instalación posterior por parte del usuario. Ya no es necesaria la invervención de un equipo de sistemas para poder instalar un CMS en un entorno seguro.
- Backups diarios automáticos: con un remanente de copias no inferior a un mes de almacenamiento. Además del backup standar, es recomendable añadir backups instantáneos o snapshots, que permitan a los clientes realizar copias en momentos específicos del día, ya sea por actualizaciones de contenido o cambios en el software. La recuperación del contenido en ambos tipos de backup, se ha de realizar a través de panel de control sin intervención del equipo del proveedor de hosting, y pudiendo elegir el tipo de recuperación de datos oportuna ( email, contenido web, base de datos, recuperación total).
- Actualizaciones automáticas de núcleo del CMS, plugins o módulos, y temas: Las actualizaciones automáticas se han mostrado como una forma muy eficaz de proteger los proyectos en Internet de los clientes, permiten que el porcentaje anual de sitios web infectados vaya disminuyendo paulatinamente. Las actualizaciones automáticas permiten a usuarios sin experiencia poder mantener una configuración más segura de sus proyectos en Internet.
- Generación de contraseñas fuertes: Scripts que facilitan al cliente generar contraseñas fuertes y blindadas en cualquier momento, además de incluir la opción de doble autenticación.
- Control de acceso a la cuenta de hosting: diferentes tipos de roles de acceso configurables y revocables desde el propio panel de control. De esta forma se evita que colaboradores externos en proyectos web puedan acceder a datos bancarios del cliente, creación de direcciones de email, y viceversa.
- Certificados SSL Let´s Encrypt (o de cualquier otro tipo): Let´s Encrypt es SSL gratuito, prácticamente todos los proveedores de hosting lo están ofreciendo. Es obligatorio que las webs tengan instalado uno, por lo que el proveedor de hosting ha de facilitar esa labor, automatizándola en la medida de lo posible. El resto de certificados SSL son también bienvenidos, aunque técnicamente sus características son idénticas.
Entraríamos ahora en el apartado de servicios de terceros, en los que recomiendo la integración de servicios de CDN (Content Delivery Network) en el panel de control de los usuarios. Un servicio de CDN a nivel DNS es importante, porque en lo relativo a la seguridad nos aporta sus propias soluciones para tratar los ataques de denegación de servicio, su propio servicio HTTPS y su WAF principalmente. Una capa extra de seguridad a tener en cuenta.
Si el proveedor de hosting por razones de producto y de servicio, no puede ofrecer servicios de limpieza de páginas web o de securización de las mismas, es conveniente que forje una alianza con un tercero que ofrezca estos servicios. De esta forma el cliente tiene a su disposición todo lo necesario en medidas preventivas y correctivas que a priori puedan estar fuera de su alcance.¿Son éstas todas las recomendaciones de seguridad para un proveedor de hosting especializado en CMS? No, podemos decir que esto sería un resumen de las más importantes y nombradas a diario. Pero si hay algo que completa a toda esta lista es el soporte técnico, y el equipo técnico especialista en seguridad.
Un equipo de soporte técnico de respuesta inmediata, en horario 24x7, en tu propio idioma (multilingüe mejor), y disponible a través de varios canales, teléfono, chat, tickets, email. Un equipo de soporte que tenga claros los protocolos de actuación frente a incidencias de seguridad y sepa cómo reaccionar. Un proveedor de hosting con experiencia además, debería disponer de una base de conocimiento pública y unos procedimientos de actuación perfectamente establecidos, que permitan solventar las incidencias rápidamente y de forma certera, que es lo que realmente los clientes esperan de un proveedor de hosting.
Los departamentos de seguridad en un proveedor de hosting especializado tienen ante sí, un gran reto. También pueden aprovechar una de las características de los proyectos Open Source, y es que la comunidad de desarrolladores y colaboradores que los crea y soporta, son capaces de crear parches que tratan invulnerabilidades con tiempos de respuesta especialmente cortos. No es nada extraño ver que los propios departamentos de seguridad de las empresas de hosting especializadas escriban parches día cero en pocas horas, y así poder solucionar vulnerabilidades antes incluso que la propia comunidad WordPress, cuyos tiempos de respuesta son también bastante cortos
José Ramón Padrón, Country Manager de SiteGround
Fuente: MuyComputerPro
Via: feedproxy.google.com
Cómo Mejorar La Seguridad De Un Hosting Con WordPress
Reviewed by Anónimo
on
18:38
Rating: